没有颁发者证书的 OCSP 验证

【问题标题】:OCSP validation without issuer certificate没有颁发者证书的 OCSP 验证
【发布时间】:2014-06-09 21:40:27
【问题描述】:

我目前正在开发一个使用 OCSP 或 CRL 验证签名证书(如 pdf 格式)的应用程序。这些很可能是叶证书,没有整个链。事实证明,获取任一验证服务的 URL 都很简单。

据我了解,OCSP 和 CRL 都需要证书颁发者对其进行验证。所以现在我被卡住了,因为输入中不包含它。 AIA 扩展可能包含指向 CA 证书的 URL,但不幸的是,这是颁发证书的 CA,而不是证书本身。

有没有其他方法可以只给叶子就获得颁发者的证书?或者在某些情况下,OCSP/CRL 可以在没有它的情况下进行验证?

【问题讨论】:

  • 你有没有想出一个解决方法?我处于完全相同的位置,想知道是否有其他选择

标签: validation certificate ocsp


【解决方案1】:

查看https://www.ietf.org/rfc/rfc2560.txt,其中详细说明了 OCSP 响应被视为有效的要求:

关键 用于签署响应的必须属于以下之一:

-- 颁发相关证书的 CA

-- 一个可信响应者,其公钥被请求者信任

-- 持有证书的 CA 指定响应者(授权响应者) 由 CA 直接颁发的特殊标记证书,表明 响应者可以为该 CA 发出 OCSP 响应

第一个和第三个选项都需要颁发者证书。第二个选项没有。但是我认为该选项不适用于您的情况。链接https://wiki.mozilla.org/CA:OCSP-TrustedResponder 详细说明了什么是可信响应者以及何时可以实际使用。

【讨论】:

    猜你喜欢
    • 2019-02-12
    • 2021-04-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-10-01
    • 1970-01-01
    • 2018-10-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode